Redes

Google alerta de un peligroso software espía: más de 10000 móviles son infectados en Europa cada día

Después de Pegasus, llega Hermit. Google, en colaboración con la firma especializada en ciberseguridad Lookout Threat Lab, ha publicado recientemente su investigación en la que se determina que varios gobiernos estarían utilizando software espía dirigido a robar información privada de usuarios europeos.

El spyware, aparentemente desarrollado por la empresa italiana RCS Lab, estaría utilizando una combinación de diferentes tácticas con el objetivo de atacar a usuarios tanto de iOS como de Android. Según las investigaciones, se han identificado víctimas en Italia y Kazajistán.Malware Android

El malware vuelve a cebarse con Android, ahora a través de un software espía que afecta a miles de personas.

Así funciona Hermit, el spyware que infecta a más de 10000 personas cada día

Como Pegasus, Hermit parece ser un spyware utilizado principalmente por agencias de inteligencia y gobiernos, entre ellos los de Italia y Kazajistán. Las investigaciones llevadas a cabo por Google y Lookout determinan que los organismos citados habrían utilizado Hermit para acceder a contactos y mensajes privados almacenados en los dispositivos de sus ciudadanos.

Sin embargo, las capacidades del malware van mucho más allá: puede obtener datos del historial del navegador, archivos guardados en el almacenamiento del dispositivo o incluso revisar el historial de chats de las aplicaciones de mensajería y redes sociales.

Google explica que, para infectar los dispositivos de sus víctimas, Hermit utiliza una combinación de técnicas. En todas las campañas descubiertas con este spyware como protagonista, se pudo observar cómo el ataque se originaba con un único enlace enviado al dispositivo del usuario. Cuando este accedía, se instaba a descargar e instalar la aplicación maliciosa.

En ese sentido, se cree que los actores atacantes colaboraron junto con los proveedores de servicios de Internet para desactivar la conexión de datos móviles de los usuarios, y posteriormente se les enviaba un mensaje de texto en el que se les solicitaba acceder a una URL y descargar la app infectada con Hermit para poder recuperar la conectividad.

Por esa razón, la mayoría de las aplicaciones en las que se ha descubierto el código de Hermit se hacían pasar por apps de operadoras móviles. También ha sido posible encontrar el spyware haciéndose pasar por aplicaciones de mensajería instantánea. Mediante estas técnicas, se lograría infectar a cerca de 10000 objetivos cada día, solo en Europa.Captura de pantalla de spyware Hermit

Captura de pantalla de un dispositivo infectado por Hermit: se pide al usuario descargar una aplicación para recuperar el acceso a sus cuentas.

Para infectar a los usuarios de dispositivos Android, se solicitaba al usuario activar la instalación de aplicaciones provenientes de orígenes desconocidos. Posteriormente, con la app ya instalada, esta obtenía acceso a un gran número de permisos, muchos de ellos especialmente sensibles.

En el caso de iOS, la cosa cambia. Dado que Apple impide la instalación de apps de fuentes externas a App Store, se ha determinado que Hermit recurre a la herramienta de distribución de aplicaciones propias en dispositivos Apple, dirigida a empresas y profesionales, algo posible gracias a que la empresa llamada 3-1 Mobile SRL, tras la cual se encontraba RCS Lab, estaba dentro del Apple Developer Enterprise Program y contaba con los permisos necesarios para poder aprovechar esta vía de distribución.

Por parte de Google, se han reforzado las medidas de protección de Google Play Protect y se han desactivado los proyectos de Firebase utilizados por esta campaña. Asimismo, se ha informado a todos los usuarios de dispositivos Android infectados por Hermit. Apple, por ahora, no se ha pronunciado al respecto.

Fuente: andro4all.com

Televisión Online / Salta, Argentina / redaccion@canal-i.net / www.canal-i.net